Zo maak je databases AVG-proof

Bedrijven en overheden zijn verplicht om zorgvuldig om te gaan met persoonsgegevens. Zo moeten ze privacygevoelige data beschermen met ‘passende technische en organisatorische maatregelen’. Welke maatregelen kunnen beheerders van databases treffen?

Privacygevoelige gegevens zijn overal: in e-mailberichten, in papieren dossiers, op mobiele gegevensdragers zoals USB-sticks, maar toch vooral in databases. Dit zijn de digitale archieven waar gegevens samenkomen, en dus ook de ‘personally identifiable information’ (PII) van bijvoorbeeld klanten of patiënten.

Strenge regels
Het verzamelen, verwerken en bewaren van die persoonsgegevens is sinds 25 mei gebonden aan de strenge regels uit de Algemene verordening gegevensbescherming (AVG). Voor beheerders van databases betekent dit dat ze moeten zorgen voor een ‘op het risico afgestemd beveiligingsniveau’.

Weinig nieuws onder de zon. De Wet bescherming persoonsgegevens verplichtte organisaties ook al tot ‘passende technische en organisatorische maatregelen’ voor de bescherming van persoonsgegevens. Wel nieuw zijn de boetes die de Autoriteit Persoonsgegevens kan opleggen als de beveiliging onder de maat is. Bij ernstige nalatigheid kunnen die oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet.

Noodzakelijke maatregelen
Moeten organisaties bij ieder datalek dat ze melden een (miljoenen)boete vrezen? Zo’n vaart zal het niet lopen. Het gaat erom dat je kunt aantonen dat je de bescherming van persoonsgegevens serieus neemt en de maatregelen treft die daarvoor nodig zijn. Denk bijvoorbeeld aan:

1. Traceren onbekende databases
Het verbeteren van de beveiliging begint bij inzicht, onder andere in de databases die in gebruik zijn. Zeker bij complexe organisaties met veel legacy kan er sprake zijn van ‘onbekende’ of in ieder geval vergeten databases.

Door bepaalde netwerksegmenten regelmatig te scannen op bijvoorbeeld IP-adressen en gebruikte netwerkpoorten, komen deze databases weer aan het licht. Zo’n scan kan on demand of met vaste intervallen worden uitgevoerd.

2. Identificeren en classificeren gevoelige data
Inzicht betekent ook dat je weet over welke gevoelige data de organisatie beschikt en waar die data zich bevinden. Deze kennis is ook nodig voor het opstellen van een register van de verwerkingsactiviteiten, wat onder de AVG voor veel organisaties verplichte kost is.

Scan databasecontent en metadata daarom regelmatig op gevoelige data zoals medische gegevens, klantdata of contactgegevens en ken aan de aangetroffen data een classificatie toe. De classificatie is een indicatie van het risico dat een organisatie loopt als bepaalde data lekken. Aan elk risiconiveau kun je specifieke maatregelen koppelen.

3. Beoordelen kwetsbaarheden
Om beveiligingsproblemen te kunnen ‘fixen’, moet je eerst weten hoe je ervoor staat. Dat kom je te weten door met een assessment van de databases de kwetsbaarheden en verkeerde configuraties in kaart te brengen. Met de juiste tooling zijn ‘vulnerability assessments’ voor een groot deel te automatiseren.

Zijn de zwakke plekken bekend? Dan hang je risicoscores aan de aangetroffen kwetsbaarheden en verhelp je eerst de problemen met de hoogste urgentie.

4. Definiëren toegang en rechten
Het voorkomen van ongeautoriseerde toegang is een van de maatregelen die organisaties moeten nemen om persoonsgegevens te beschermen. Altijd moet inzichtelijk zijn wie toegang hebben tot welke data en met welke rechten. Welke wijzigingen kunnen gebruikers bijvoorbeeld doorvoeren?

Voorkom ongeautoriseerde toegang tot gevoelige data door op databaseniveau de rollen en rechten van gebruikers te definiëren. Een vervolgstap is een actieve monitoring op ‘wie wat wanneer’ deed in een database en waarom. Een gedetailleerd overzicht van de doorgevoerde wijzigingen komt ook van pas bij het aantonen van compliance.

5. Versleutelen data
De AVG bevat weinig concrete voorbeelden van manieren om persoonsgegevens te beveiligen. In artikel 32 wordt slechts één maatregel benoemd: de pseudonimisering en versleuteling van persoonsgegevens.

Deze maatregel kan eenvoudig op databaseniveau worden geïmplementeerd. Encryptie is zelfs de basis van databasesecurity en de ultieme manier om privacy te beschermen. Zonder encryptie blijven er voor de hacker ook mogelijkheden om de database te ‘omzeilen’ door de files te openen die de database gebruikt om data op te slaan.

Continu proces
De lijst met potentiële maatregelen is natuurlijk veel langer. Beveiliging van databases stopt ook niet bij een eenmalige assessment en het treffen van beveiligingsmaatregelen, maar is een continu proces. Onderwerp de beveiliging van een database dan ook regelmatig aan een audit om te kijken of je nog compliant bent met geldende wet- en regelgeving zoals de AVG.